¿Sabías que más de 150 millones de cuentas fueron comprometidas debido al robo de contraseñas el pasado año?
Por esa razón, la implementación de la autenticación de dos factores (2FA) se ha impuesto cada vez más en las empresas como una herramienta que contribuye a su protección y a la de sus clientes. Y es que el 80% de las brechas de seguridad se pueden evitar gracias a la 2FA.
Dicho esto, no es una solución perfecta, ya que últimamente los hackers están lanzando ciberataques que les proporcionan los códigos de un solo uso que se envían por SMS a los Smartphones de las víctimas.
En este artículo, vamos a explicar en detalle qué metodologías utilizan los hackers para burlar la autenticación de dos factores y qué medidas puedes implementar para prevenir y protegerse ante estos ataques.
La autenticación de dos factores actúa como una capa adicional de seguridad de una cuenta. Se describe como un método que combina "algo que tienes" con "algo que sabes".
Requiere que el usuario se identifique de 2 maneras diferentes:
1. La primera es generalmente una contraseña.
2. La segunda es un código de un solo uso que se puede obtener de varias formas, por ejemplo por SMS o correo electrónico.
Hay muchos dispositivos y servicios diferentes para aplicar la autenticación 2FA, desde tokens hasta tarjetas de identificación por radiofrecuencia o aplicaciones para smartphones.
Los productos de autenticación de dos factores pueden dividirse en dos categorías:
1. Tokens que se entregan a los usuarios para que los utilicen al iniciar la sesión; pueden generarse en dispositivos físicos, como llaveros o tarjetas inteligentes, o pueden existir en el software como aplicaciones móviles o de escritorio que generan códigos PIN para la autenticación.
2. La infraestructura o el software que reconoce y autentifica el acceso de los usuarios que utilizan sus tokens correctamente.
Kevin Mitnick, ex convicto hacker y ahora dirigente de la empresa de seguridad Mitnick Security Consulting, LLC. también Jefe de Hacking de la empresa de formación en seguridad KnowBe4, mostró cómo los cibercriminales pueden redirigir a sus víctimas a una página falsa de inicio de sesión de un sitio web legítimo para falsificar las solicitudes de código de autenticación de un solo uso y además interceptar sus nombres de usuarios, contraseñas y cookies de sesión consiguiendo, de este modo, que esta medida de seguridad sea vulnerable a ataques de phishing simples.
1. Mediante estafas de SIM swapping (intercambio de SIM), es posible eludir el 2FA; este método implica que un atacante convenza al proveedor de servicios móviles de que él es la víctima y luego solicite que el número de teléfono del propietario se cambie a un dispositivo de elección.
2. Mediante herramientas proxy inverso, como Modliska. Los códigos de un solo uso basados en SMS pueden ser comprometidos. Un proxy inverso es un tipo de servidor que recupera recursos en nombre del cliente desde uno o más servidores. Estos recursos se devuelven después al cliente como si se originarán en ese servidor web.
En estos casos, el hacker intercepta la comunicación entre un servicio auténtico y la víctima, rastrea y registra las interacciones de esta con el servicio, incluidas las credenciales de inicio de sesión.
3. Mediante el Typosquatting, esta táctica se realiza mediante un correo electrónico de phishing o un mensaje instantáneo con un enlace parecido al nombre de dominio de un sitio web legítimo, excepto por una o dos letras.
Al hacer clic en el enlace el ataque se desencadena, llevándonos a una página de inicio de sesión falsa, cuando la víctima ingresa su nombre de usuario, contraseña y los códigos de autenticación 2FA, el hacker intercepta las credenciales y la cookie de inicio de sesión asociada con la cuenta.
Verificar enlaces: Prestar atención a los enlaces del sitio web al que estemos navegando. Si recibimos un correo electrónico o una notificación de un sitio sospechoso, bajo ningún concepto hagamos clic en el enlace.
Pasando el cursor sobre el enlace antes de hacer clic, podemos ver a dónde nos llevará, y verificar que el destino es el mismo que aparece en el enlace.
Verificar la ortografía: Al escribir una URL en el navegador, verificar que se está deletreando correctamente. Con Typosquatting, escribir mal una URL podría conducir a una estafa de phishing.
Verificar errores tipográficos: Las estafas de phishing se pueden reconocer por tener errores tipográficos. Si recibimos un correo electrónico o una notificación de una empresa legítima, esta no debe contener errores tipográficos.
Verificar si tu línea de defensa inicial es segura: En primer lugar, comprueba tu contraseña para ver si está comprometida. Hay varios programas de seguridad que te permiten hacerlo.
Asegúrate de que utilizas una contraseña bien elaborada. El uso de un Password Manager como Last Pass es una forma eficaz de hacer más segura la primera línea de autenticación, que es el inicio de sesión.
También es recomendable que limites el uso de SMS como método de 2FA, en su lugar puedes utilizar códigos de un solo uso basados en la aplicación, como por ejemplo, a través de Google Authenticator.
Aunque deben cumplirse varias condiciones para que los ataques mencionados funcionen, estos demuestran vulnerabilidades en los métodos 2FA. Estos ataques no requieren capacidades técnicas de alto nivel. Simplemente saber cómo funcionan estas aplicaciones específicas y cómo utilizarlas de forma inteligente para atacar a una víctima.
Desde ESED somos conscientes de los riesgos que pueden suponer el robo de contraseñas de usuarios para las empresas y que no siempre se tiene el nivel de concienciación necesaria a la hora de prevenirlos. Por esa razón, hemos creado una solución llamada ESED Attack, un ataque simulado y controlado que te ayudará.entre otras cosas, a identificar el nivel de concienciación / preparación de tus empleados y a saber qué áreas de tu empresa son más vulnerables.